Salve, Situation: Ich habe Samba als PDC eingerichtet, der Rechner ist zudem noch der DHCP und DNS Server. Die Windows Clients können sich auch an die Domäne anmelden, Freigaben, Profile alles klappt. Aber alle User haben nur Benutzer Rechte auf ihren Rechnern. Bei den meisten ist das auch gut so, aber einige müssen Hauptbenutzer bzw. Administratoren auch auf dem Client System sein. Ich finde irgendwie keine Möglichkeit Samba zu sagen welcher User zu welcher Gruppe gehört so das Windows das auch übernimmt. Bzw. welche Gruppen muß ich unter Samba noch einrichten? Lokal auf den Windows Systemen existieren die Domäin User ja nicht. Wie muß ich das machen, gibt es irgendwo eine gute Anleitung ? Gruß Markus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Tue, 30 Jan 2007 18:04:19 +0100 Markus Spiller
Die Windows Clients können sich auch an die Domäne anmelden, Freigaben, Profile alles klappt.
Aber alle User haben nur Benutzer Rechte auf ihren Rechnern. Bei den meisten ist das auch gut so, aber einige müssen Hauptbenutzer bzw. Administratoren auch auf dem Client System sein.
Dann wirst Du globale Benutzergruppen für Hauptbenutzer und Administratoren kreiieren und diesen Rechte auf den betreffenden Client-PCs geben müssen. Natürlich haben dann alle Benutzer aus diesem Kreis administrativen Zugriff auf alle Rechner untereinander. Alternativ machst Du das auf pro-Domänen-Benutzer-Basis. Inwieweit man tatsächlich lokale Administratorrechte auf seinem Normal-Benutzerkonto braucht, könnte man mal sicherheitstechnisch diskutieren. In der Regel wird man es bevorzugen, lokale eigene Administratorkonten einzurichten, die die betreffenden User dann bei Bedarf explizit benutzen, wenn etwas administratives ansteht. Ansonsten soll es ja seit WinXP in aller Regel nicht mehr nötig sein, mit administrativen Rechten auf ner Mickymaus-Büchse zu arbeiten und bei ausreichend Speicher kann man sogar mehrere Sitzungen parallel betreiben. Bis Win2k war das wohl noch anders.
Bzw. welche Gruppen muß ich unter Samba noch einrichten? Lokal auf den Windows Systemen existieren die Domäin User ja nicht.
Nur mal vorsichtshalber: Kennst Du das Konzept von globalen (= domänenweiten) und lokalen Benutzergruppen und welche Strategie MS beim Aufbau einer Domäne empfiehlt? -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ich glaube ich habe mich etwas unklar ausgedrückt. Also wir haben einige Entwickler und Softwaretester hier im Haus. Die Entwickler arbeiten mit einem Tool welches zwingend lokale Admin Rechte benötigt (warum auch immer) - diese sollen auf Ihren lokalen Systemen also Admin Rechte haben aber in der Domäne nur normale Benutzer. Die Softwaretester sollen auf den lokalen Systemen Hauptbenutzer sein, in der Domäne aber auch nur normale Benutzer. Und ich brauche Admin Rechte auf meine lokalen System und in der Domäne. (Mein normaler Account hat nur Benutzer Rechte und für die Admin Aufgaben habe ich einen zweiten) Mit reinen Windows Netzen kenne ich mich aus, auch globale und lokale Benutzergruppen sind mir klar, nur wie ich das in Samba umsetzen kann/soll weiss ich nicht, bei Samba stehe ich noch ganz am Anfang, deshalb brauche ich eure Hilfe. Gruß Markus Tobias Crefeld schrieb:
On Tue, 30 Jan 2007 18:04:19 +0100 Markus Spiller
wrote: Die Windows Clients können sich auch an die Domäne anmelden, Freigaben, Profile alles klappt.
Aber alle User haben nur Benutzer Rechte auf ihren Rechnern. Bei den meisten ist das auch gut so, aber einige müssen Hauptbenutzer bzw. Administratoren auch auf dem Client System sein.
Dann wirst Du globale Benutzergruppen für Hauptbenutzer und Administratoren kreiieren und diesen Rechte auf den betreffenden Client-PCs geben müssen. Natürlich haben dann alle Benutzer aus diesem Kreis administrativen Zugriff auf alle Rechner untereinander. Alternativ machst Du das auf pro-Domänen-Benutzer-Basis.
Inwieweit man tatsächlich lokale Administratorrechte auf seinem Normal-Benutzerkonto braucht, könnte man mal sicherheitstechnisch diskutieren. In der Regel wird man es bevorzugen, lokale eigene Administratorkonten einzurichten, die die betreffenden User dann bei Bedarf explizit benutzen, wenn etwas administratives ansteht. Ansonsten soll es ja seit WinXP in aller Regel nicht mehr nötig sein, mit administrativen Rechten auf ner Mickymaus-Büchse zu arbeiten und bei ausreichend Speicher kann man sogar mehrere Sitzungen parallel betreiben. Bis Win2k war das wohl noch anders.
Bzw. welche Gruppen muß ich unter Samba noch einrichten? Lokal auf den Windows Systemen existieren die Domäin User ja nicht.
Nur mal vorsichtshalber: Kennst Du das Konzept von globalen (= domänenweiten) und lokalen Benutzergruppen und welche Strategie MS beim Aufbau einer Domäne empfiehlt?
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wed, 31 Jan 2007 13:47:11 +0100 Markus Spiller
Die Entwickler arbeiten mit einem Tool welches zwingend lokale Admin Rechte benötigt (warum auch immer) - diese sollen auf Ihren lokalen Systemen also Admin Rechte haben aber in der Domäne nur normale Benutzer. [..] Mit reinen Windows Netzen kenne ich mich aus, auch globale und lokale Benutzergruppen sind mir klar, nur wie ich das in Samba umsetzen kann/soll weiss ich nicht, bei Samba stehe ich noch ganz am Anfang, deshalb brauche ich eure Hilfe.
Das hat nichts mit Samba zu tun. Du willst Domänenbenutzern erweiterte Zugriffsrechte auf den lokalen Stationen erlauben. Das kann entweder über Rechtevergabe an Domänenbenutzer oder über Rechtevergabe an Domänengruppen erfolgen. Je nach organisatorischer Rechnerzuordnung im jeweiligen Betrieb. Natürlich erfolgt auch hier die Rechtevergabe am jeweiligen Serversystem, also hier an den Desktop-PCs - das ist reine MS-Funktionalität und damit kennst Du Dich ja aus. Der PDC heißt halt zufälligerweise etwas anders, aber sonst besteht kein Unterschied (in der Theorie). Im übrigen bleibe ich dabei, dass es unter WinXP nicht mehr nötig sein sollte, mit lokalen Admin-Rechten arbeiten zu müssen. Das Entwickler wie alle Benutzer immer maximale Rechte haben wollen, ist eh klar. Das sie die dann nicht bekommen, ebenso. Aber nu gut, irgendwo müssen die spambot-Netze ja rekrutiert werden. =:) -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Und genau da war ich einem Irrtum aufgesessen. Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren. Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt. Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer. So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler Markus Tobias Crefeld schrieb:
Das hat nichts mit Samba zu tun. Du willst Domänenbenutzern erweiterte Zugriffsrechte auf den lokalen Stationen erlauben. Das kann entweder über Rechtevergabe an Domänenbenutzer oder über Rechtevergabe an Domänengruppen erfolgen. Je nach organisatorischer Rechnerzuordnung im jeweiligen Betrieb. Natürlich erfolgt auch hier die Rechtevergabe am jeweiligen Serversystem, also hier an den Desktop-PCs - das ist reine MS-Funktionalität und damit kennst Du Dich ja aus.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Und genau da war ich einem Irrtum aufgesessen. Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren. Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt. Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer. So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler Markus Tobias Crefeld schrieb:
Das hat nichts mit Samba zu tun. Du willst Domänenbenutzern erweiterte Zugriffsrechte auf den lokalen Stationen erlauben. Das kann entweder über Rechtevergabe an Domänenbenutzer oder über Rechtevergabe an Domänengruppen erfolgen. Je nach organisatorischer Rechnerzuordnung im jeweiligen Betrieb. Natürlich erfolgt auch hier die Rechtevergabe am jeweiligen Serversystem, also hier an den Desktop-PCs - das ist reine MS-Funktionalität und damit kennst Du Dich ja aus.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 1. Februar 2007 16:49 schrieb Markus Spiller:
Und genau da war ich einem Irrtum aufgesessen.
Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren.
Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt. Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer.
So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler
Wenn ich Dich (und Deine vorherigen Ausführungen) richtig verstehe, soll der user an _seinem_ Rechner Administrator, Hauptbenutzer oder Benutzer sein. An allen andern Rechnern soll er Benutzer sein. Wie soll das denn entschieden werden, außer durch lokale Rechtevergabe auf dem Client. Das bekommst Du zentralisiert auch nicht in einem reinen Windowsnetzwerk (NT4 Domäne oder AD) ohne explizite Konfiguration auf dem Client hin. PS. Bitte keine TOFU http://www.afaik.de/usenet/faq/zitieren/zitieren-2.php3#ss2.3 Grüße Ralf -- Antworten bitte nur in die Mailingliste! PMs bitte an: listreply (@) arndt-on-line (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 01 Feb 2007 16:49:24 +0100 Markus Spiller
Und genau da war ich einem Irrtum aufgesessen.
Ich weiß zwar wie ich einen Domänenbenutzer lokal erweiterte Rechte geben kann, ABER ich wollte das zentral in Samba konfigurieren.
Nochmal: Das hat nichts mit Samba zu tun. Wenn der Fileserver ein PDC unter Win2k wäre, erginge es Dir nicht besser.
Ich wollte das über das Gruppenmapping in Samba machen. z.B. Windowsgruppe Hauptbenutzter wird in Samba auf eine Unix Gruppe hauptnutzer mit der RID 547 gemappt.
Es gibt keine Windows- oder Unix-Gruppe in einer Domäne. Es gibt lokale Gruppen und es gibt Domänengruppen. Und es gibt lokale Benutzer und Domänenbenutzer. Eine lokale Gruppe ist immer rechnerspezifisch. Es gibt also eine Gruppe PC01/Administratoren, eine gruppe PC02/Administratoren und alle diese Gruppen werden lokal definiert und existieren unabhängig von dem Vorhandensein einer Domäne und deren Benutzer oder Gruppen.
Jeder User der der Unix Gruppe hauptbenutzer angehört gehört auch der Windowsgruppe Hauptbenutzer an und hat auf dem Windows Rechner die gleichen Rechte wie ein lokaler Windows Hauptbenutzer.
So hatte ich zumindest das Gruppen mapping in Samba verstanden. Geht das wirklich nicht oder habe ich noch einen weiteren Gedankenfehler
Das hast Du falsch verstanden. Die lokalen Rechte verteilt noch immer jeder Windows-PC einzeln. Als Domänenmitglied kann er dies dann auch zusätzlich an Domänenbenutzer und Domänengruppen tun. Es gibt keine domänenweite Windows-Gruppe "Hauptbenutzer". Weder unter Windows noch unter Samba. Es gibt nur auf jedem Windows-Rechner eine jeweils eigene, lokale Gruppe "Hauptbenutzer". Dein hauptsächlicher Gedankenfehler scheint mir zu sein, dass Du das Microsoft-Domänenkonzept nicht verstanden hast und dieses Unwissen läßt sich auch nicht durch den Einsatz von Samba beheben. Samba kann in einem Windows-Netzwerk nicht mehr oder weniger als ein Windows-Server. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Markus, Markus Spiller schrieb:
Ich glaube ich habe mich etwas unklar ausgedrückt.
Also wir haben einige Entwickler und Softwaretester hier im Haus. Die Entwickler arbeiten mit einem Tool welches zwingend lokale Admin Rechte benötigt (warum auch immer) - diese sollen auf Ihren lokalen Systemen also Admin Rechte haben aber in der Domäne nur normale Benutzer.
Die Softwaretester sollen auf den lokalen Systemen Hauptbenutzer sein, in der Domäne aber auch nur normale Benutzer.
Und ich brauche Admin Rechte auf meine lokalen System und in der Domäne. (Mein normaler Account hat nur Benutzer Rechte und für die Admin Aufgaben habe ich einen zweiten)
Mit reinen Windows Netzen kenne ich mich aus, auch globale und lokale Benutzergruppen sind mir klar, nur wie ich das in Samba umsetzen kann/soll weiss ich nicht, bei Samba stehe ich noch ganz am Anfang, deshalb brauche ich eure Hilfe.
Schau mal hier, das dürfte genau das sein was du brauchst, http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#id... Stichwort "Managing Nest Groups on Workstations from the Samba Server" Ich hab das mal ausprobiert, es funktioniert recht gut. Mich persönlich ärgert die Herumfrickelei bei einem Samba-Server auch, da ich beispielsweise auch gerne für meinen Benutzeraccount Adminrechte haben möchte, da es ja nach wie vor damit nicht vernünftig unter XP arbeiten lässt (ist meine persönliche Meinung) Ich hab hier zwar keinen PDC, habe aber mal damit herumprobiert, da ich nach einem Weg suche, das Samba Benutzerkennwort von Windows aus verändern zu können. Vielleicht kennt ja jemand da eine komfortable Lösung, ich hab noch keine finden können. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Markus Spiller schrieb:
Salve,
Situation:
Ich habe Samba als PDC eingerichtet, der Rechner ist zudem noch der DHCP und DNS Server.
Die Windows Clients können sich auch an die Domäne anmelden, Freigaben, Profile alles klappt.
Aber alle User haben nur Benutzer Rechte auf ihren Rechnern.
Bei den meisten ist das auch gut so, aber einige müssen Hauptbenutzer bzw. Administratoren auch auf dem Client System sein.
Ich finde irgendwie keine Möglichkeit Samba zu sagen welcher User zu welcher Gruppe gehört so das Windows das auch übernimmt. Bzw. welche Gruppen muß ich unter Samba noch einrichten?
Lokal auf den Windows Systemen existieren die Domäin User ja nicht.
Wie muß ich das machen, gibt es irgendwo eine gute Anleitung ?
Gruß Markus
Meines Wissens gibt es dafür zwei einfache Lösungen. Die erste du trägt die Domain-User in die lokalen Gruppen ein. Das macht aber nur Sinn wenn es nicht so viele sind weil es dann halt viel Arbeit ist. Oder du machst das über das mapping ( http://www.linux-user.de/ausgabe/2005/11/050-samba-basics/index.html ). In wieweit dir das bei der deinem Problem hilft bin ich mir allerdings nicht ganz sicher :). Musste auch vorsichtig sein sonst haste viel User die nachher mit Domain-Admin Rechten rum surfen :).. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Manfred Kreisl
-
Markus Spiller
-
Ralf Arndt
-
Tim Macholl
-
Tobias Crefeld